ドメインユーザーによるソフトウェアのインストールを停止する
これは、これを理解するための私の最後のショットです。それを理解することができれば。
ユーザーが自分のコンピューターにプログラムをインストールできないようにする方法はありますか?私たちはServer 2016を実行します。私はそれらにローカル管理者権限を拒否してみました(これは成功しました)。しかし、役に立たない。私はまた、プログラムを昇格された特権として実行することを強制して、役に立たないようにしました。
どうすればよいですか?可能ですか?
できる限りの支援をいただければ幸いです。
ドメインを使用してGPOを使用することを想定している場合、推奨される(PITAですが、ゼロから始めるのではるかに簡単です)パスはソフトウェア制限ポリシーです。これには、マルウェア/ランサムウェアを効果的に防止するという追加の利点もあります。
https://technet.Microsoft.com/en-us/library/hh831534(v = ws.11).aspx
ソフトウェア制限ポリシー(SRP)はグループポリシーベースの機能で、ドメイン内のコンピューターで実行されているソフトウェアプログラムを識別し、それらのプログラムの実行機能を制御します。ソフトウェア制限ポリシーは、企業のコンピューターの信頼性、整合性、および管理性の向上を支援するマイクロソフトのセキュリティおよび管理戦略の一部です。
また、ソフトウェア制限ポリシーを使用して、特定のアプリケーションのみの実行を許可する、非常に制限された構成をコンピューターに作成することもできます。ソフトウェア制限ポリシーは、Microsoft Active Directoryおよびグループポリシーと統合されています。スタンドアロンコンピューターでソフトウェア制限ポリシーを作成することもできます。ソフトウェア制限ポリシーは信頼ポリシーであり、完全に信頼されていないスクリプトやその他のコードの実行を制限するために管理者が設定する規制です。
TheCleanerによるソフトウェア制限ポリシーの提案に加えて、MicrosoftはAppLockerと呼ばれる「ハードコア」バージョンをリリースしています。
https://technet.Microsoft.com/en-us/library/ee424367(v = ws.10).aspx
AppLockerは、Windows Server 2008 R2およびWindows 7の新機能であり、ソフトウェア制限ポリシーの機能を強化しています。 AppLockerには、ファイルの一意のIDに基づいてアプリケーションの実行を許可または拒否するルールを作成し、それらのアプリケーションを実行できるユーザーまたはグループを指定できる新しい機能と拡張機能が含まれています。 AppLockerを使用すると、次のタイプのアプリケーションを制御できます。実行可能ファイル(.exeおよび.com)、スクリプト(.js、.ps1、.vbs、.cmd、および.bat)、Windowsインストーラーファイル(.msiおよび.bat)。 msp)、およびDLLファイル(.dllおよび.ocx)。
発行者、製品名、ファイル名、ファイルバージョンなど、デジタル署名から派生したファイル属性に基づいてルールを定義します。たとえば、更新を通じて永続的な発行者属性に基づいてルールを作成したり、ファイルの特定のバージョンのルールを作成したりできます。
ルールをセキュリティグループまたは個々のユーザーに割り当てます。
ルールの例外を作成します。たとえば、レジストリエディター(Regedit.exe)を除くすべてのWindowsプロセスの実行を許可するルールを作成できます。
監査専用モードを使用してポリシーを展開し、適用する前にその影響を理解します。
ルールのインポートとエクスポート。インポートとエクスポートはポリシー全体に影響します。たとえば、ポリシーをエクスポートすると、すべてのルールコレクションからのすべてのルールが、ルールコレクションの施行設定を含めてエクスポートされます。ポリシーをインポートすると、既存のポリシーのすべての基準が上書きされます。
Windows PowerShellコマンドレットを使用して、AppLockerルールの作成と管理を合理化します。
AppLockerは、管理者のオーバーヘッドを削減し、承認されていないアプリケーションを実行しているユーザーに起因するヘルプデスクへの問い合わせの数を減らすことで、組織のコンピューティングリソースの管理コストを削減します。
AppLockerポリシーは、マシンの起動時に最初に処理するものであり、そのように構成されている場合、必要なシステムdll/exeさえブロックすることができるため、Windowsが実際に起動しないため、十分にテストしてください。
これにはいくつかの方法がありますが、ほとんどの場合、システムをロックダウンします。
サーバーにグループポリシーを実装する場合は、制限のあるグループに制限付きユーザーを追加します。 GPエディターでは、ユーザーが特定の操作を実行できないようにするために、ほぼすべてのパラメーターを使用できます。 USBドライブの使用を含め、特定のアカウントがログインしたときにそれらを無効にすることができます。言うまでもなく、すべての機能を見つけて制限し、テストするのには時間がかかります。退屈ですが、目標を達成するための推奨される方法です。
あなたはこれを達成するためにいくつかのスクリプト、またはGPを専門とする誰かのためにウェブを検索できるかもしれません。私はブラウザアクセスの制限、CDからのアプリの読み込み、スタートボタンからのdosプロンプトの削除などを使用しました。セキュリティを回避するためのすべての方法。さまざまなハードウェアとOSのPCでも、GPでさまざまな構成が必要になる場合があります。
幸運なことに、この強力な機能を十分に活用するには、IT予算が適切な組織が必要です。
私はこれを言うのが嫌ですが、私の経験では、効果的でコストのかからないアプローチの1つは、例として誰かを解雇することです。インストールされたソフトウェアの継続的な監査が必要ですが、多くのPCでは効果的ですが、これには時間がかかる場合があります。